Breach Zara: quasi 197mila email via token Anodot

Breach Zara: quasi 197mila email via token Anodot

Nel mese di aprile 2026 il gruppo estorsivo ShinyHunters ha pubblicato un dataset di circa 140 GB relativo a Zara, rivendicando l’accesso a istanze Google BigQuery tramite token di autenticazione Anodot compromessi. Have I Been Pwned ha confermato circa 197.400 indirizzi email unici, order ID, product SKU e ticket di supporto. Inditex ha confermato un incidente presso un ex fornitore tecnologico terzo, ma non ha attribuito pubblicamente il vettore né ha nominato Anodot, lasciando un vuoto che amplifica il rischio per i clienti.

Circa 197.400 indirizzi email unici verificati da Have I Been Pwned, con order ID, product SKU e ticket di supporto cliente.

Il vettore Anodot: token rubati e istanze BigQuery

Secondo la rivendicazione pubblicata da ShinyHunters sul proprio leak site Tor, l’accesso ai dati Zara sarebbe avvenuto sfruttando token di autenticazione della piattaforma Anodot. Il gruppo ha avvertito: Your Bigquery instances data was compromised. I token avrebbero consentito l’ingresso in istanze Google BigQuery contenenti dati di analytics e ticket di supporto.

La tecnica esatta con cui i token sarebbero stati compromessi non è documentata nelle fonti. Non è noto se il furto sia derivato da phishing, insider threat, configurazione errata o altra modalità. Ciò rende impossibile, al momento, valutare la profondità della compromissione oltre la pura rivendicazione del threat actor.

ShinyHunters ha affermato che l’archivio relativo a Zara pesa circa 140 GB, ma non ha fornito dettagli tecnici sul percorso di esfiltrazione né sulla tempistica esatta dell’accesso alle istanze cloud. La campagna rientra nel programma “pay or leak” del gruppo, che minaccia la pubblicazione se la vittima non paga un riscatto.

Cosa c’è nei 140 GB: email, SKU e ticket di supporto

Have I Been Pwned, servizio autorevole per la verifica dei data breach, ha catalogato il dataset Zara e confermato circa 197.400 indirizzi email unici. Oltre agli indirizzi, il dataset include order ID, product SKU, il mercato geografico di origine del ticket e i testi dei ticket di supporto clienti.

Questi elementi non costituiscono dati di pagamento né indirizzi fisici, ma rappresentano una mappa dettagliata del rapporto commerciale tra cliente e retailer. Conoscere gli SKU acquistati, il paese di riferimento e lo storico delle richieste di assistenza permette di ricostruire profili comportamentali, livello di spesa e problemi riscontrati con specifici prodotti.

Inditex ha precisato che nomi, password, dati di pagamento, indirizzi e numeri di telefono non risultano esposti. La stessa fonte indipendente HIBP non contraddice questa lettura per le categorie escluse, ma conferma l’esistenza di metadati commerciali e di supporto che l’azienda non ha esplicitamente menzionato nel proprio avviso.

Il silenzio di Inditex: conferma senza nome del fornitore

Inditex ha emesso un comunicato in cui conferma l’accesso non autorizzato a database ospitati da un ex fornitore tecnologico terzo. L’azienda ha dichiarato: Inditex has immediately applied its security protocols and has started notifying the relevant authorities of this unauthorized access, that stems from a security incident that affected a former technology provider and has impacted several companies operating internationally.

Nella stessa nota, il colosso spagnolo — che ha chiuso il 2025 con un fatturato di circa €38,6 miliardi — ha assicurato che Operations and systems haven't been affected and customers can continue to access and use its services safely. La frase sottolinea la continuità operativa, ma non chiarisce la portata del prelievo dati né il destino delle informazioni già pubblicate.

Crucialmente, Inditex non ha attribuito pubblicamente l’attacco a ShinyHunters né ha confermato Anodot come vettore. L’omissione del nome del fornitore e del threat actor lascia i clienti senza un quadro ufficiale per valutare il rischio residuo e adottare contromisure mirate.

ShinyHunters ha affermato: The company failed to reach an agreement with us despite our incredible patience, all the chances, ma questa circostanza non è verificata in modo indipendente. Il gruppo ha pubblicato l’archivio senza che Inditex riconoscesse ufficialmente alcuna trattativa o richiesta di riscatto.

Perché SKU e ticket di supporto sono più pericolosi di un indirizzo

L’assenza di dati di pagamento nell’archivio non equivale a basso rischio per i clienti. La combinazione di un indirizzo email verificato con la cronologia degli acquisti e i contenuti dei ticket di supporto genera un dataset altamente appetibile per campagne di spear-phishing mirate.

Un attore di minaccia può confezionare email che citano un ordine specifico, un SKU esatto o un problema di assistenza precedente, aumentando esponenzialmente la probabilità che la vittima clicchi su un link malevolo o inserisca credenziali in un portale fasullo. La familiarità del contesto abbassa le difese psicologiche dell’utente medio.

Le frodi basate su cronologia acquisti rappresentano uno scenario realistico. Un messaggio che annuncia un rimborso per un articolo con SKU preciso o che segnala un problema logistico sullo stesso ordine verificato nel dataset risulta credibile e difficile da intercettare con filtri antispam generici.

Inoltre, i ticket di supporto possono contenere riferimenti a metodi di contatto preferiti, orari di disponibilità o dettagli di politiche aziendali interne. Queste informazioni alimentano ricognizioni preliminari per attacchi più strutturati contro singoli utenti o addirittura contro il customer care stesso.

Cosa fare adesso

• Verificare su Have I Been Pwned se la propria email è compresa nel dataset Zara: la conferma indipendente è il punto di partenza per ogni valutazione di rischio personale.
• Trattare con estrema diffidenza qualsiasi email, SMS o messaggio che citi ordini Zara, SKU specifici o ticket di supporto precedenti: evitare il clic su link e verificare sempre tramite app ufficiale o sito digitando manualmente l’URL.
• Attivare l’autenticazione a due fattori su ogni account associato all’indirizzo email esposto, incluso quello Zara, e modificare la password se non già robusta e unica.
• Monitorare estratti conto e notifiche bancarie per transazioni anomale, anche se dati di pagamento e indirizzi non risultano inclusi nel leak: la ricostruzione del profilo d’acquisto può facilitare tentativi di ingegneria sociale verso istituti finanziari o servizi di pagamento.

L’incidente Zara non è una violazione di dati di pagamento, ma dimostra come la compromissione di un token SaaS analytics possa esporre metadati commerciali sufficienti a armare campagne di ingegneria sociale di alta qualità. La discrepanza tra la comunicazione minimale di Inditex e il dettaglio del dataset pubblicato lascia i clienti a interpretare da soli il livello di pericolo. In un ecosistema retail sempre più dipendente da piattaforme cloud terze, la trasparenza sul vettore e sul contenuto esatto del leak resta l’unico antidoto efficace contro il phishing che verrà.

Domande frequenti

Inditex ha confermato che il fornitore compromesso è Anodot?

No. Inditex ha confermato un incidente presso un ex fornitore tecnologico terzo che ha impattato diverse aziende internazionali, ma non ha reso pubblico il nome del provider né ha confermato Anodot come vettore.

I dati di pagamento e gli indirizzi dei clienti sono stati esposti?

Secondo il comunicato Inditex e la verifica indipendente di Have I Been Pwned, nomi, password, dati di pagamento, indirizzi e numeri di telefono non compaiono nel dataset. Le email e i metadati degli acquisti sì.

Che tipo di attacco ha colpito Anodot?

ShinyHunters ha dichiarato di aver compromesso token di autenticazione per accedere a istanze BigQuery. La tecnica precisa con cui i token sarebbero stati ottenuti non è documentata nelle fonti disponibili.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://securityaffairs.com/191859/cyber-crime/zara-data-breach-197000-customers-exposed-in-third-party-security-incident.html
• https://haveibeenpwned.com/Breach/Zara